Управление сетевыми сервисами и виртуализация сетевых функций

Сетевые сервисы

Сетевые сервисы передают трафик по сети и применяют к нему сетевые функции, например WAN-оптимизацию, шейпинг и защиту трафика. Каждый сетевой сервис имеет топологию, которую вы строите с помощью графического конструктора. Вы можете добавить в топологию компоненты и подключить их друг к другу.

Вам нужно построить топологию в шаблоне сетевого сервиса, после назначить этот шаблон тенанту. Вместе с шаблоном сетевого сервиса тенанту автоматически назначаются добавленные в топологию шаблона компоненты. Тенант может создавать и разворачивать сетевые сервисы, используя назначенные шаблоны, а также изменять уже развернутые сетевые сервисы.

При необходимости применить к трафику сетевые функции из разных сетевых сервисов, эти сетевые сервисы можно подключить к общему сетевому сервису.

С помощью сетевых сервисов вы можете развернуть экземпляры SD-WAN. Вам нужно войти в портал самообслуживания тенанта, для которого вы хотите развернуть экземпляр SD-WAN, создать сетевой сервис, добавить в топологию этого сетевого сервиса компоненты плоскости управления сетью и развернуть сетевой сервис. Сетевой сервис для развертывания экземпляра SD-WAN называется сетевым сервисом SD-WAN (далее сервис SD-WAN).

Пример построенной топологии сетевого сервиса представлен на рисунке ниже.

Топология сетевого сервиса

Виртуализация сетевых функций

Виртуализация сетевых функций (англ. network function virtualization, далее также NFV) позволяет использовать виртуализированные хранилища, вычислительные ресурсы и сети для предоставления сетевых функций и объединения этих функций в сетевые сервисы.

Вы можете использовать виртуальные сетевые функции (англ. Virtual Network Functions, далее также VNF) и физические сетевые функции (Physical Network Functions, далее также PNF). Разница между виртуальными и физическими сетевыми функциями заключается в том, что физические сетевые функции развертываются на специализированном оборудовании и не используют облачные ресурсы.

Kaspersky SD-WAN соответствует архитектуре, указанной в спецификации NFV MANO (NFV Management and Network Orchestration) ETSI, которая представлена следующими основными функциональными компонентами:

• Оркестратор.

  Контролирует инфраструктуру решения, выполняет функции оркестратора NFV (NFVO), а также управляет сетевыми сервисами и распределенными VNFM. Может управляться с помощью веб-интерфейса и REST API при использовании внешних северных (англ. northbound) систем.

• Менеджер виртуальных сетевых функций (VNFM).

  Управляет жизненным циклом виртуальных сетевых функций с помощью SSH, сценариев Ansible, скриптов и атрибутов Cloud-init.

• Менеджер виртуальной инфраструктуры.

  Управляет вычислительными и сетевыми ресурсами, а также ресурсами хранения в рамках инфраструктуры NFV. Используется для связи сетевых функций с помощью виртуальных каналов, подсетей и портов.

  Может быть развернут в центре обработки данных или на устройстве uCPE. Развертывание VIM в центре обработки данных, подразумевает централизованное управление жизненным циклом VNF, в то время как VIM, развернутый на устройстве uCPE, позволяет доставлять VNF на удаленные площадки и управлять этими VNF локально. Развернутый VIM требуется добавить в веб-интерфейс оркестратора.

  В качестве VIM используется облачная платформа OpenStack.

• Система мониторинга Zabbix – отслеживает состояние виртуальных и физических сетевых функций и сообщает оркестратору о необходимости восстановить или масштабировать сетевую функцию.
• Инфраструктура NFV – состоит из физических ресурсов, таких как аппаратные хранилища, серверы и сетевые устройства.
• Контроллер SD-WAN.

  Централизованно управляет наложенной сетью и сетевыми устройствами в соответствии с топологией сервисной цепочки по протоколу OpenFlow. Развертывается как виртуальная или физическая сетевая функция.

На рисунке ниже показана взаимосвязь между компонентами решения и инфраструктурой NFV. Белым цветом отмечены компоненты внешних решений, зеленым – компоненты Kaspersky SD-WAN, а красными линиями – связи между компонентами.

Инфраструктура NFV